Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
ssdeep
Search
miyamoto
May 24, 2017
Technology
0
1.4k
ssdeep
about ssdeep fuzzyhash
miyamoto
May 24, 2017
Tweet
Share
Other Decks in Technology
See All in Technology
GSIが複数キー対応したことで、俺達はいったい何が嬉しいのか?
smt7174
3
150
2人で作ったAIダッシュボードが、開発組織の次の一手を照らした話― Cursor × SpecKit × 可視化の実践 ― Qiita AI Summit
noalisaai
1
370
制約が導く迷わない設計 〜 信頼性と運用性を両立するマイナンバー管理システムの実践 〜
bwkw
3
880
What happened to RubyGems and what can we learn?
mikemcquaid
0
250
Oracle Cloud Observability and Management Platform - OCI 運用監視サービス概要 -
oracle4engineer
PRO
2
14k
顧客との商談議事録をみんなで読んで顧客解像度を上げよう
shibayu36
0
180
生成AIを活用した音声文字起こしシステムの2つの構築パターンについて
miu_crescent
PRO
1
120
広告の効果検証を題材にした因果推論の精度検証について
zozotech
PRO
0
140
レガシー共有バッチ基盤への挑戦 - SREドリブンなリアーキテクチャリングの取り組み
tatsukoni
0
210
Kiro IDEのドキュメントを全部読んだので地味だけどちょっと嬉しい機能を紹介する
khmoryz
0
170
GitHub Issue Templates + Coding Agentで簡単みんなでIaC/Easy IaC for Everyone with GitHub Issue Templates + Coding Agent
aeonpeople
1
190
Embedded SREの終わりを設計する 「なんとなく」から計画的な自立支援へ
sansantech
PRO
3
2.2k
Featured
See All Featured
How Software Deployment tools have changed in the past 20 years
geshan
0
32k
Bootstrapping a Software Product
garrettdimon
PRO
307
120k
Gemini Prompt Engineering: Practical Techniques for Tangible AI Outcomes
mfonobong
2
280
Making Projects Easy
brettharned
120
6.6k
How To Stay Up To Date on Web Technology
chriscoyier
791
250k
Self-Hosted WebAssembly Runtime for Runtime-Neutral Checkpoint/Restore in Edge–Cloud Continuum
chikuwait
0
320
Speed Design
sergeychernyshev
33
1.5k
SEO in 2025: How to Prepare for the Future of Search
ipullrank
3
3.3k
How to Get Subject Matter Experts Bought In and Actively Contributing to SEO & PR Initiatives.
livdayseo
0
63
Jamie Indigo - Trashchat’s Guide to Black Boxes: Technical SEO Tactics for LLMs
techseoconnect
PRO
0
55
Building a A Zero-Code AI SEO Workflow
portentint
PRO
0
300
AI Search: Implications for SEO and How to Move Forward - #ShenzhenSEOConference
aleyda
1
1.1k
Transcript
ファジーハッシュについて 宮本
ファジーハッシュ:類似マルウェアへ対応するために 従来のハッシュの問題点: 4バイトだけ異なる2つのマルウェア検体。ハッシュを計算すると全く違う値。 4バイトをランダムに書き換えて新しいマルウェアを大量に作成する場合、 作成可能なハッシュの異なるマルウェアの数は、2564=約43億通り。 →ハッシュ値を使ったレピュテーションで対応するのは困難→ファジーハッシュ 2
VirusTotalでもファジーハッシュ ファイルの類似を調べる ssdeep:ファジーハッシュ →ファイルの全体的な類似 authentihash,imphash →実行ファイルの部分一致 ssdeep 3
ssdeep値のフォーマット 「:」が区切り目 「:」が区切り目 3×2nで表すブロックサイズ 64未満分割チェックサム連結値 32未満分割チェックサム連結 値 イメージ 図 ファイルを分割し、各分割ブロックごとに1文字のチェックサムを出して連結する
ファイルが類似していると、結果も類似するという特徴 ファイル チェックサム 連結値 4
使用例 4つのマルウェア検体(イメージ) ほぼ共通だけど、最後の0.3%だけランダム文字列な4検体 5
VirusTotalで「追加情報」を確認してみると ファイル1 ファイル2 ファイル3 ファイル4 6
ssdeepだけ拡大 ファイル1のssdeep値 3072:5f2+b0QUvhzaW3LYZmhjU6zloI4b4eI4weQ50zGQS2Qmuuy2Fw7deCkTu6bFp: V8p57YZ8jUMlrb3e807QPxjy1 ファイル2のssdeep値 3072:5f2+b0QUvhzaW3LYZmhjU6zloI4b4eI4weQ50zGQS2Qmuuy2Fw7deCkTu6bFR: V8p57YZ8jUMlrb3e807QPxjyF ファイル3のssdeep値 3072:5f2+b0QUvhzaW3LYZmhjU6zloI4b4eI4weQ50zGQS2Qmuuy2Fw7deCkTu6bFH: V8p57YZ8jUMlrb3e807QPxjyr
ファイル4のssdeep値 3072:5f2+b0QUvhzaW3LYZmhjU6zloI4b4eI4weQ50zGQS2Qmuuy2Fw7deCkTu6bFN: V8p57YZ8jUMlrb3e807QPxjyB 「1ブロック違うだけで他は共通の類似ファイル:98%一致」という比較結果 赤字は異なる部分 7
8 機械学習を利用したマルウェア検知 実行前にファイルを静的解析し、機械学習で構築した既知のマルウェア 情報データベースと比較し、類似している物を検知しブロックする ファイルから抽出する情報: • ファイルタイプ、証明書、アイコン、画面リソース、テキスト • パッカー、コンパイラ、コンパイル時間、エントリーポイント •
インポートハッシュ(関数呼出しの一致) • ファジーハッシュ(ファイル類似性) Suspicious Origin Packed or Encrypted Suspicious URL New Application Suspicious Email Low Age Certificate Document Type Low Prevalence High # of Rapid Changes Suspicious Email Link クラウドに集めた マルウェアの情報と 類似しているか比較
smt7174
noalisaai
bwkw
mikemcquaid
oracle4engineer
shibayu36
miu_crescent
zozotech
tatsukoni
khmoryz
aeonpeople
sansantech
geshan
garrettdimon
mfonobong
brettharned
chriscoyier
chikuwait
sergeychernyshev
ipullrank
livdayseo
techseoconnect
portentint
aleyda
